Sicher bezahlen im Internet

Kunden müssen sich keine Passwörter mehr merken und können Zahlungen aus einer mobilen App ganz einfach bestätigen. Die Kundenauthentifizierung ist bei 3-D Secure 2 vollständig in den Verkaufsprozess integriert. Die Haftung für betrügerische Transaktionen geht ganz auf den Kartenherausgeber über. 

3-D Secure 2 baut auf einen risikobasierten Authentifizierungsprozess und zieht zusätzliche Transaktionsdaten heran, auf deren Grundlage von Händlern und Kartenausstellern geprüft wird, ob die Zahlung vom Karteninhaber initiiert wurde und der Bezahlvorgang erlaubt oder abgebrochen wird. In die Überprüfung fliessen auch weitere Faktoren der starken Kundenauthentifizierung, wie die Zahlungsgewohnheiten oder der Fingerabdruck, mit ein. Im so genannten „Frictionless Flow“ werden risikoarme Transaktionen identifiziert. Entfällt eine echte Kundenauthentifizierung, erfolgt der Checkout-Prozess für den Karteninhaber ohne Unterbrechung.  

• Reibungsloser Zahlungsvorgang (Frictionless Flow)
• Steigerung Ihrer Conversion Rate
• Weniger Zahlungsabbrüche durch risikobasierte Authentifizierung
• Vollständige Integration in Webshops und Apps
• Intelligente Betrugserkennungsmechanismen, um Kreditkartenbetrug zu reduzieren

Bitte stellen Sie mit Ihren Lösungsanbietern sicher, dass der Sicherheitsstandard 3-D Secure 2 richtig implementiert ist:

• Wenden Sie sich für die technische Integration des neuen Sicherheitsstandards an Ihren Payment Service Provider.
• Stellen Sie mit Ihrem Webshop-Anbieter die Einbindung über den Payment Service Provider sicher (evt. müsste die Schnittstelle zwischen Ihrem Payment Service Provider und Ihrem Webshop aktualisiert werden oder andere Anpassungen vorgenommen werden).
• Für die kundenfreundlichen, risikobasierten Authentifizierungen werden mit 3-D Secure 2 10x mehr Daten des Karteninhabers bzw. Webshops verwendet dadurch werden mehr Kontrollpunkte und geringere Betrugsraten ermöglicht. Unter diese Daten fallen auch personenbezogene Daten, wie Name des Karteninhabers, Telefonnummer, E-Mail-Adresse, IP-Adresse, Rechnungs- sowie Lieferadresse. Wir empfehlen Ihnen daher gemäss der Datenschutzgrundverordnung DSGVO Ihre Datenschutzerklärung zu erweitern.
• Ersetzen Sie im Webshop gespeicherte Logos und Namen von Mastercard SecureCode durch Mastercard Identity Check und von Verified by Visa durch Visa Secure.
• Sie sind Kunde von Worldline und nutzen Saferpay für Ihren Webshop? Informieren Sie sich auf unserer FAQ Seite, ob Sie gegebenenfalls etwas tun müssen.

• Nutzen Sie bislang gar kein 3-D Secure? Dann sind Sie nicht PSD 2 konform. Bitte nehmen Sie mit unseren Spezialisten Kontakt auf und lassen Sie sich für die nötigen Schritte zur Implementierung von 3-D Secure 2 beraten.

Die überarbeitete Zahlungsdiensterichtlinie (PSD2) wurde von der Europäischen Bankenaufsichtsbehörde festgelegt. Sie soll der Regulierung neuer Marktteilnehmer dienen und die Sicherheit im Zahlungsverkehr erhöhen. Ein Bestandteil dieser Richtlinie sind die regulatorischen technischen Standards (RTS-SCA), die seit dem 14. September 2019 eine starke Kundenauthentifizierung (SCA) fordern.

Als der ursprüngliche Termin 14. September 2019 näher rückte, erkannten immer mehr europäische Länder, dass eine grosse Anzahl ihrer nationalen E-Commerce-Unternehmen und Banken diesen bereits einmal verschobenen Termin nicht einhalten konnten.

Man schätzte, dass die europäischen Online-Shops im Durchschnitt etwa 20% an Einnahmen verlieren würden, wenn sie den Termin nicht rechtzeitig einhalten könnten, und die Europäische Bankenbehörde (EBA), die für die technischen Regulierungsstandards verantwortlich ist, beschloss schließlich, eine weitere Verschiebung zuzulassen.

Die neue und endgültige Frist, die in einer EBA-Stellungnahme angekündigt wurde, ist der 31. Dezember 2020, und die zuständigen nationalen Behörden (NCA) in ganz Europa haben den relevanten nationalen Akteuren in ihren jeweiligen Ländern, d.h. Banken, PSPs und Internet-Shops, die Verschiebung angekündigt.

Um jedoch zu vermeiden, dass die Fristverlängerung einige der Parteien dazu veranlassen könnte, nichts zu unternehmen bis die neue Frist in unmittelbare Nähe rückt, hat die EBA - über die nationalen Behörden (NCA) - von den Parteien konkrete Umsetzungspläne der SCA als Bedingung für eine Verschiebung gefordert. Mit anderen Worten, EBA hat sichergestellt, dass sie nicht wieder vor der gleichen Situation stehen, wenn die nächste Deadline schlagend wird.

Schliesslich ist es wichtig zu betonen, dass die Händler und ihre PSPs spätestens Ende des ersten Halbjahres 2020 technisch bereit sein sollten, um genügend Zeit zu haben, die gesamte Prozesskette mit ihren Acquirers, den Schemes und den Issuers zu testen. Es ist wahrscheinlich, dass es unterschiedliche Auslegungen der neuen Regeln geben wird und die Feinabstimmung Zeit brauchen kann und spätestens vor Beginn des Weihnachtsgeschäfts abgeschlossen sein muss.

Ab dem 1. Januar 2021 wird Worldline keine Transaktionen mehr bearbeiten, die nicht PSD2-konform sind.

Nein, folgende Zahlungen sind ausgenommen: MOTO-Transaktionen (“Mail Order Telephone Order“), Zahlungen, die vom Händler initiiert werden und unabhängig vom Kunden erfolgen (sogenannte Merchant Initiated Transactions), sowie Transaktionen zwischen Karteninhabern oder Merchant Acquirers ausserhalb des Europäischen Wirtschaftsraums unterliegen nicht dieser RTS-SCA-Regelung.

Das Ziel der starken Kundenauthentifizierung durch 3-D Secure 2 besteht darin, die Anzahl der Betrugsfälle zu reduzieren. Gleichzeitig soll die Benutzerfreundlichkeit für den Karteninhaber deutlich erhöht werden, insbesondere, indem dem Kartenaussteller (die Bank des Karteninhabers) mehr Informationen über den Kontext der Transaktion bereitgestellt werden, um Letzterem die Entscheidung zu ermöglichen, ob er mit der starken Kundenauthentifizierung des Karteninhabers fortfahren soll.

1. Wenn Sie bereits 3-D Secure 1.0 für all Ihre Transaktionen verwenden, wird der Wechsel zu 3-D Secure 2 dafür sorgen, dass einige Ihrer Transaktionen ohne zusätzliche Authentifizierung ("Frictionless Flow" – siehe unten) verarbeitet werden können. Dies wird zu einer Steigerung Ihrer Kaufabschlussrate führen und Sie gleichzeitig vor Betrug schützen.
2. Wenn Sie 3-D Secure 1.0 bisher noch nicht nutzen (nur "SSL"-Transaktionen) oder nur teilweise nutzen (dynamisches 3-D Secure), ist die Umsetzung von 3-D Secure 1.0 oder 3-D Secure 2 zwingend erforderlich, um die Vorgaben der starken Kundenauthentifizierung zu erfüllen. Andernfalls können Sie davon ausgehen, dass viele nicht mit 3-D Secure abgesicherte Transaktionen von den Kartenherausgebern abgelehnt werden. 3-D Secure 2 wird Ihnen eine bessere Kaufabschlussrate bieten als 3-D Secure 1.0.

Die wichtigsten Neuerungen bei 3-D Secure 2 sind:

• Eine nahtlosere und besser integrierte Kundenerfahrung, insbesondere für mobile Apps.
• Neue Methoden zur Authentifizierung auf Seiten der Bank des Karteninhabers.
• Management der SCA-Ausnahmen und Frictionless Flow.

Frictionless Flow bezeichnet einen Zahlungsvorgang ohne Aufforderung für eine zusätzliche Authentisierung.

Je nach Kontext und den in der Zahlungsanforderung enthaltenen Informationen führt der Kartenherausgeber eine Risikobewertung durch und kann entscheiden, ob der Bezahlvorgang erlaubt oder abgebrochen wird. Wenn die Frictionless-Flow-Initiative vom Kartenherausgeber ausgeht, profitiert der Händler von der Haftungsumkehr. Sollte der Händler jedoch seine eigene Risikoanalyse durchgeführt haben und Frictionless Flow vom Kartenherausgeber einfordern, profitiert dieser nicht von der Haftungsumkehr.

Die RTS listen zwei mögliche Ausnahmen für Käufe in Ladengeschäften auf:

• Kontaktlose Transaktionen für Kleinbeträge

Eine Ausnahme bei einer kontaktlosen Transaktion kann in Anspruch genommen werden,

➔ wenn der Wert der Transaktion nicht höher ist als EUR 50.
➔ wenn die kontaktlosen Transaktionen seit der letzten Transaktion mit einer starken Kundenauthentifizierung durch den Karteninhaber – unabhängig vom Händler und der Anzahl der kontaktlosen Transaktionen – den Höchstwert (Häufigkeitskriterien) gemäss der Definition der regulatorischen Anforderung RTS-SCA (max. EUR 150 oder fünf Transaktionen, nach Ermessen des Kartenherausgebers, der auch niedrigere Schwellenwerte festlegen kann) nicht überschritten haben.

• Transaktionen über unbeaufsichtigte Terminals an Parkplätzen oder für Verkehrsmittel

• Wiederkehrende Zahlungen

Eine Ausnahme von der starken Kundenauthentifizierung gilt für wiederkehrende Zahlungen an den gleichen Empfänger mit demselben Betrag. Die starke Kundenauthentifizierung ist jedoch für die erste Transaktion (den Vertrag) bzw. für jede Änderung an den wiederkehrenden Transaktionen erforderlich.

• Kleinbeträge

Eine Ausnahme von der starken Kundenauthentifizierung für Kleinbeträge kann in Anspruch genommen werden,

➔ wenn der Wert der Transaktion nicht höher ist als EUR 30.
➔ wenn die Zahlungen von Kleinbeträgen seit der letzten Transaktion mit einer starken Kundenauthentifizierung durch den Karteninhaber – unabhängig vom Händler und der Anzahl der Kleinbetragszahlungen – den Schwellenwert (Häufigkeitskriterien) gemäss der Definition der RTS-SCA (max. EUR 100 oder fünf Transaktionen, nach Ermessen des Kartenherausgebers, der auch niedrigere Schwellenwerte festlegen kann) nicht überschritten haben.

• Transaktionen mit geringem Risiko

Als „Risikobewertung“ wird eine Ausnahme von der starken Kundenauthentifizierung bezeichnet, die vom Acquirer (im Namen des Händlers) und vom Kartenherausgeber in Anspruch genommen werden kann, sofern die folgenden beiden Voraussetzungen erfüllt werden:

➔ Die Transaktion wird für sicher erklärt (zum Beispiel ist der Arbeitsplatz des Benutzers nicht von Malware infiziert, es liegen keine ungewöhnlichen Zahlungen durch den Zahlenden, kein ungewöhnlicher Standort des Zahlenden, kein ungewöhnlicher Transaktionsverlauf usw. vor).
➔ Die Betrugsrate (bei Zahlungen) der Zahlungsansprüche (für den Acquirer der Bank und den Kartenherausgeber der Bank (Issuer), aber nicht für den Händler oder sein PSP) liegt unter dem aktuellen Schwellenwert:

➩ 0,13%, wenn der Betrag der Transaktion weniger beträgt als EUR 100.
➩ 0,06%, wenn der Betrag der Transaktion weniger beträgt als EUR 250.
➩ 0,01%, wenn der Betrag der Transaktion weniger beträgt als EUR 500.
➩ Die Ausnahme gilt nicht für Transaktionen im Wert von über EUR 500.

Bei Ausnahmen handelt es sich nicht um den Routinefall und auch wenn die Voraussetzungen erfüllt werden, liegt die letztendliche Entscheidung darüber, ob der Bezahlvorgang erlaubt oder abgebrochen wird, beim Kartenherausgeber (Bank des Karteninhabers). Der Herausgeber wird die Zahlung ablehnen ("soft decline"), was zu einer erneuten Einsendung der Zahlungsanfrage unter Anforderung der starken Kundenauthentifizierung durch den Karteninhaber führt.

Die 3-D Secure 2-Implementierung, die Änderungen in der gesamten elektronischen Zahlungskette erfordert, wird in Abhängigkeit von den verschiedenen Beteiligten im Zahlungsverkehr (Zahlungsmodul, Banken der Händler, Netzwerke, Banken der Herausgeber) schrittweise durchgeführt. Wir empfehlen Ihnen, Ihren PSP-Gatewayanbieter so bald wie möglich zu kontaktieren, um zu erfahren, ob er Sie bei der Umsetzung von 3-D Secure 2 bereits unterstützen kann.

3-D Secure 1.0 für Visa- und Mastercard-Zahlungen wird im Dezember 2020 enden.

Worldline wird als Acquirer keine Folgezahlungen von Transaktionen blockieren, deren erste Transaktion vor dem 31. Dezember erfolgt ist, und wird die Folgezahlungen auch weiterhin akzeptieren. Für Folgezahlungen, die nach dem 31. Dezember durchgeführt werden, empfiehlt Worldline die Nutzung der SCA bei der ersten Transaktion und bei Folgezahlungen diese als Referenz zu nutzen, um die gleiche Bewilligungsrate zu erreichen.

Die nationalen Aufsichtsbehörden überwachen die Aktivitäten der lokalen Acquirer und Kartenherausgeber. Für den Händler ist jedoch der Standort des Acquirers am wichtigsten, da dieser ausschlaggebend dafür ist, ob eine Übergangsphase gilt. Darüber hinaus sollten sich Händler, die international Geschäfte tätigen, mit den Vorschriften der Länder befassen, in denen sie tätig sind. Tatsächlich werden einige Kartenherausgeber in Europa ab dem 14. September dazu verpflichtet sein, SCA zu unterstützen. Das bedeutet, dass diese Kartenherausgeber Kartentransaktionen ohne 3-D Secure vermutlich ablehnen werden.